instalación y configuración de ldap en ubuntu creando dominio y estructura
DESCRIPTION
2012GUIA LDAP CLIENTE LDAPJavier García Cambronel SEGUNDO DE ASIR 24/02/2012[GUIA LDAPCLIENTE LDAP] 24 de febrero de 2012GUIA LDAPLDAP SOFTERRASEGUNDO DE ASIRPágina 1[GUIA LDAPCLIENTE LDAP] 24 de febrero de 2012GUIA LDAPINSTALAMOS LDAPLo primero que vamos a hacer va a ser insta lar LDAP, para ello lo que tenemos que hacer es ejecutar el siguiente comando sudo apt-get install slapd ldap-utilsNos aparecerá, la siguiente ventana donde tendremos que indicar, cual va a serTRANSCRIPT
GUIA LDAP CLIENTE LDAP
2012
Javier García Cambronel SEGUNDO DE ASIR
24/02/2012
GUIA LDAP CLIENTE LDAP[ ] 24 de febrero de 2012
SEGUNDO DE ASIR Página 1
GUIA LDAP
LDAP SOFTERRA
GUIA LDAP CLIENTE LDAP[ ] 24 de febrero de 2012
SEGUNDO DE ASIR Página 2
GUIA LDAP
INSTALAMOS LDAP
Lo primero que vamos a hacer va a ser insta lar LDAP, para ello lo que tenemos que hacer es
ejecutar el siguiente comando
sudo apt-get install slapd ldap-utils
Nos aparecerá, la siguiente ventana donde tendremos que indicar, cual va a ser la
contraseña para la entrada del administrador a LDAP
Después lo que hacemos será volver a verificar la contraseña
GUIA LDAP CLIENTE LDAP[ ] 24 de febrero de 2012
SEGUNDO DE ASIR Página 3
Y podremos ver, como la instalación se ha llevado a cabo perfectamente
Lo siguiente que hacemos va a ser situarnos sobre el directorio en el que se encuentra LDAP,
para ello lo que tenemos que hacer es ejecutar el siguiente comando:
cd /etc/ldap
NOS FAMILIARIZAMOS CON SU ESTRUCTURA
PROCEDEMOS A VER EL CONTENIDO
Para ver el contenido, tendremos que ejecutar el siguiente comando, una vez que nos
encontramos dentro del directorio
GUIA LDAP CLIENTE LDAP[ ] 24 de febrero de 2012
SEGUNDO DE ASIR Página 4
LISTAMOS EL CONTENIDO DE TODOS LOS SUBDIRECTORIOS
DIRECTORIO SASL2
DIRECTORIO SCHEMA
DIRECTORIO SLAPD.D
GUIA LDAP CLIENTE LDAP[ ] 24 de febrero de 2012
SEGUNDO DE ASIR Página 5
SUBDIRECTORIO CN=CONFIG
SUBDIRECTORIO CN=SCHEMA DENTRO DE CN=CONFIG
GUIA LDAP CLIENTE LDAP[ ] 24 de febrero de 2012
SEGUNDO DE ASIR Página 6
ESQUEMA DE OBJETOS EN LDAP
Arrancamos slapd con el siguiente comando
sudo /etc/init.d/slapd start
Vemos como se ha arrancado perfectamente
Una vez arrancado, vamos a cargar en nuestro sistema el siguiente archivo, con ldapadd, y
añadirán nuevas entradas a la ruta que hemos pasado:*
sudo ldapadd -Y EXTERNAL -H ldapi:/// -f /etc/ldap/schema/cosine.ldif
sudo ldapadd -Y EXTERNAL -H ldapi:/// -f /etc/ldap/schema/nis.ldif
sudo ldapadd -Y EXTERNAL -H ldapi:/// -f /etc/ldap/schema/inetorgperson.ldif
-CLASE ORGANIZATIONALUNIT LA BUSCAMOS DENTRO DE CORE.SCHEMA:
No situamos sobre el directorio schema, con el siguiente comando
cd /etc/ldap/schema/
y procedemos a la búsqueda con el siguiente comando
cat core.schema |grep organizationalUnit
GUIA LDAP CLIENTE LDAP[ ] 24 de febrero de 2012
SEGUNDO DE ASIR Página 7
-CLASE INETORGPERSON DENTRO DE INETORGPERSON.SCHEMA:
cat inetorgperson.schema |grep inetorgperson
-CLASE POSIXACCOUNT LA BUSCAREMOS EN NIS.SCHEMA
grep -r "posixAccount" /etc/ldap/schema/
-CLASE SHADOWACCOUNT LA BUSCAMOS EN NIS.SCHEMA
grep -r "shadowAccount" /etc/ldap/schema/
GUIA LDAP CLIENTE LDAP[ ] 24 de febrero de 2012
SEGUNDO DE ASIR Página 8
CREAMOS LA BASE DE DATOS
Nos situamos en el directorio de LDAP con el siguiente comando
cd /etc/ldap
Creamos el archivo que va a contener la base de datos con un nombre identificativo nosotros
como vamos a trabajar con ribera.com el archivo que crearemos será ribera.com.ldif y para
crearlo ejecutamos el siguiente comando
gedit ribera.com.ldif
En el escribiremos el siguiente contenido:
# Load dynamic backend modules
dn: cn=module,cn=config
objectClass: olcModuleList
cn: module
olcModulepath: /usr/lib/ldap
olcModuleload: back_hdb.la
# Database settings
dn: olcDatabase=hdb,cn=config
objectClass: olcDatabaseConfig
objectClass: olcHdbConfig
olcDatabase: {1}hdb
olcSuffix: dc=ribera,dc=com
olcDbDirectory: /var/lib/ldap
olcRootDN: cn=admin,dc=ribera,dc=com
olcRootPW: secret
olcDbConfig: set_cachesize 0 2097152 0
olcDbConfig: set_lk_max_objects 1500
olcDbConfig: set_lk_max_locks 1500
olcDbConfig: set_lk_max_lockers 1500
olcDbIndex: objectClass eq
olcLastMod: TRUE
olcDbCheckpoint: 512 30
olcAccess: to attrs=userPassword by dn="cn=admin,dc=ribera,dc=com" write by anonymous
auth by self write by * none
olcAccess: to attrs=shadowLastChange by self write by * read
olcAccess: to dn.base="" by * read
olcAccess: to * by dn="cn=admin,dc=ribera,dc=com" write by * read
GUIA LDAP CLIENTE LDAP[ ] 24 de febrero de 2012
SEGUNDO DE ASIR Página 9
Quedando como vemos en la imagen y guardamos el archivo
Lo siguiente que hacemos será cargar el archivo para que se agregue la base de datos, lo
hacemos con el siguiente comando:
ldapadd -Y EXTERNAL -H ldapi:/// -f /etc/ldap/ribera.com.ldif
Y como vemos las entradas se añaden correctamente
GUIA LDAP CLIENTE LDAP[ ] 24 de febrero de 2012
SEGUNDO DE ASIR Página 10
CREAMOS LOS OBJETOS
Para esto, creamos un nuevo archivo llamado como el anterior pues estará vinculado a este,
pero precedido con el nombre de objetos, para indicarnos a que se refiere.
Ejecutamos el siguiente comando
gedit objetos.ribera.com.ldif
El cual contendrá el siguiente contenido
# Create top-level object in domain
dn: dc=ribera,dc=com
objectClass: top
objectClass: dcObject
objectclass: organization
o: ribera Organization
dc: ribera
description: LDAP ribera
# Admin user.
dn: cn=admin,dc=ribera,dc=com
objectClass: simpleSecurityObject
objectClass: organizationalRole
cn: admin
description: LDAP administrator
userPassword: Asir2012
GUIA LDAP CLIENTE LDAP[ ] 24 de febrero de 2012
SEGUNDO DE ASIR Página 11
Quedando como vemos en la imagen y guardamos el archivo
Lo siguiente que hacemos va a ser cargar el archivo, para ellos ejecutamos el siguiente
comando:
ldapadd -x -D cn=admin,dc=ribera,dc=com -W -f /etc/ldap/objetos.ribera.com.ldif
Vemos como las entradas se añaden perfectamente
Ahora vemos que esto ha tenido efecto y lo comprobamos realizando la búsqueda
pertinente
ldapsearch -xLLL -b "cn=admin,dc=ribera,dc=com"
GUIA LDAP CLIENTE LDAP[ ] 24 de febrero de 2012
SEGUNDO DE ASIR Página 12
CREAMOS LA UNIDAD ORGANIZATIVA ASIR Y DENTRO ASIR1 Y ASIR2
Para este cometido, también creamos un nuevo archivo, para tenerlo todo mejor
organizado:
gedit asir.ribera.com.ldif
Dentro del archivo escribimos el siguiente contenido
dn: ou=asir,dc=ribera,dc=com
objectClass: organizationalUnit
ou: asir
dn: ou=asir1,ou=asir,dc=ribera,dc=com
objectClass: organizationalUnit
ou: asir1
dn: ou=asir2,ou=asir,dc=ribera,dc=com
objectClass: organizationalUnit
ou: asir2
Quedando como vemos en la imagen, y guardamos
Ejecutamos el siguiente comando para añadir las entradas necesarias:
ldapadd -x -D cn=admin,dc=ribera,dc=com -W -f /etc/ldap/asir.ribera.com.ldif
Vemos como se lleva a cabo perfectamente
GUIA LDAP CLIENTE LDAP[ ] 24 de febrero de 2012
SEGUNDO DE ASIR Página 13
Comprobamos que se han añadido correctamente buscando, y mirando el resultado
ldapsearch -xLLL -b "ou=asir,dc=ribera,dc=com" dn: ou=asir,dc=ribera,dc=com
Y como podemos ver, se ha ejecutado perfectamente
GUIA LDAP CLIENTE LDAP[ ] 24 de febrero de 2012
SEGUNDO DE ASIR Página 14
CREAMOS LA UNIDAD ORGANIZATIVA DAM Y DENTRO DAM1 Y DAM2
Para esto volvemos a crear un nuevo archivo con el siguiente comando
gedit dam.ribera.com.ldif
Dentro del archivo, escribimos las siguientes líneas
dn: ou=dam,dc=ribera,dc=com
objectClass: organizationalUnit
ou: dam
dn: ou=dam1,ou=dam,dc=ribera,dc=com
objectClass: organizationalUnit
ou: dam1
dn:ou=dam2,ou=dam,dc=ribera,dc=com
objectClass: organizationalUnit
ou: dam2
Quedando así, y guardamos
GUIA LDAP CLIENTE LDAP[ ] 24 de febrero de 2012
SEGUNDO DE ASIR Página 15
Procedemos a añadir las entradas, con el siguiente comando:
ldapadd -x -D cn=admin,dc=ribera,dc=com -W -f /etc/ldap/dam.ribera.com.ldif
Y vemos que las entradas se añaden perfectamente
Lo comprobamos haciendo una búsqueda con el siguiente comando:
ldapsearch -xLLL -b "ou=dam,dc=ribera,dc=com"
Y comprobamos, que se han creado perfectamente
GUIA LDAP CLIENTE LDAP[ ] 24 de febrero de 2012
SEGUNDO DE ASIR Página 16
AÑADIMOS USUARIOS A ASIR2
Par ello como viene siendo habitual, creamos un nuevo archivo, ejecutamos el siguiente
comando:
gedit usuarios.asir2.asir.ribera.com.ldif
Dentro del archivo, escribiremos las siguientes líneas donde añadiremos a mí Javier ;)
dn: uid=javier,ou=asir2,ou=asir,dc=ribera,dc=com
objectClass: inetOrgPerson
objectClass: posixAccount
objectClass: shadowAccount
uid: Javier
sn: garcia
givenName: Javier
cn: javier garcia
displayName: javier garcia
uidNumber: 1001
gidNumber: 1
userPassword: asir2012
gecos: Javier Garcia
loginShell: /bin/bash
homeDirectory: /home/Javier
title: System Administrator
initials: JG
Quedando como vemos en pantalla y guardamos
Lo siguiente que hacemos va a ser añadir el contenido del archivo, para ello ejecutamos el
siguiente comando:
ldapadd -x -D cn=admin,dc=ribera,dc=com -W -f usuarios.asir2.asir.ribera.com.ldif
GUIA LDAP CLIENTE LDAP[ ] 24 de febrero de 2012
SEGUNDO DE ASIR Página 17
CREAMOS LA UNIDAD ORGANIZATIVA DE LOS PROFESORES
Basta decir que creamos como no, un nuevo archivo
gedit profesinformatica.ribera.com.ldif
Con el siguiente contenido
dn: ou=profesinformatica,dc=ribera,dc=com
objectClass: organizationalUnit
ou: profesinformatica
Quedando como vemos en la imagen
Ejecutamos el siguiente comando para añadir la unidad organizativa
ldapadd -x -D cn=admin,dc=ribera,dc=com -W -f profesinformatica.ribera.com.ldif
Comprobamos que se ha añadido perfectamente
ldapsearch -xLLL -b "ou=profesinformatica,dc=ribera,dc=com"
GUIA LDAP CLIENTE LDAP[ ] 24 de febrero de 2012
SEGUNDO DE ASIR Página 18
AHORA CREAMOS A LOS PROFESORES
Creamos el archivo pertinente donde irán los profesores
gedit usuarios.profesinformatica.ribera.com.ldif
Con el siguiente contenido
dn: uid=ana,ou=profesinformatica,dc=ribera,dc=com
objectClass: inetOrgPerson
objectClass: posixAccount
objectClass: shadowAccount
uid: ana
sn: rosa
givenName: Ana
cn: Ana Rosa
displayName: Ana Rosa
uidNumber: 1002
gidNumber: 1
userPassword: asir2012
gecos: Ana
loginShell: /bin/bash
homeDirectory: /home/Ana
title: System Administrator
initials: AR
Quedando como vemos en la imagen
GUIA LDAP CLIENTE LDAP[ ] 24 de febrero de 2012
SEGUNDO DE ASIR Página 19
Ejecutamos el siguiente comando para añadir a los profesores a la unidad organizativa
ldapadd -x -D cn=admin,dc=ribera,dc=com -W -f usuarios.profesinformatica.ribera.com.ldif
Comprobamos que los cambios han tenido efecto
ldapsearch -xLLL -b "ou=profesinformatica,dc=ribera,dc=com"
GUIA LDAP CLIENTE LDAP[ ] 24 de febrero de 2012
SEGUNDO DE ASIR Página 20
LDAP SOFTERRA
DESCARGA Y SU INSTALACION
Lo primero que debemos hacer es descargarlo desde:
http://www.ldapadministrator.com/download.htm
Elegimos la versión que necesitemos, según nuestro sistema operativo.
Seguiremos el asistente
GUIA LDAP CLIENTE LDAP[ ] 24 de febrero de 2012
SEGUNDO DE ASIR Página 21
Indicaremos la ruta donde queremos que se instale
Y seleccionamos una instalación completa, pues nos va a ofrecer un mejor rendimiento
GUIA LDAP CLIENTE LDAP[ ] 24 de febrero de 2012
SEGUNDO DE ASIR Página 22
Finalizaremos la instalación
Nos dirigimos a inicio todos los programas softerra Ldap…
GUIA LDAP CLIENTE LDAP[ ] 24 de febrero de 2012
SEGUNDO DE ASIR Página 23
VEMOS ESTRUCTURA DE LOS SERVIDORES PUBLICOS
Podemos ver una serie de conexiones a servidores públicos con LDAP, y podemos ver (hasta
cierto punto) sus objetos creado (usuarios, unidades organizativas…). Observaremos que
están organizada del mimo tipo que el Active Directory de Windows.
GUIA LDAP CLIENTE LDAP[ ] 24 de febrero de 2012
SEGUNDO DE ASIR Página 24
REALIZAMOS LA CONEXIÓN A NUESTRA MAQUINA
Vamos a realizar una nueva conexión, esta vez a mi máquina.
Primero comprobaremos que nuestra máquina está escuchando por el puerto 389:
netstat -an|more
Averiguaremos nuestra IP si no la sabemos
Ifconfig
Entonces ya podemos realizar la conexión, iremos al menú superior y sobre Server
elegiremos New Profile
GUIA LDAP CLIENTE LDAP[ ] 24 de febrero de 2012
SEGUNDO DE ASIR Página 25
Elegimos un nombre para nuestro perfil y pulsamos en siguiente
Ahora debemos especificar la dirección y el puerto sobre el que vamos a conectarnos y
tenemos que especificar el dominio base del servidor que hemos elegido.
GUIA LDAP CLIENTE LDAP[ ] 24 de febrero de 2012
SEGUNDO DE ASIR Página 26
Ahora debemos especificar las credenciales del usuario con privilegios de ese dominio y por
supuesto nos pedirá la contraseña para que se pueda realizar la conexión.
En la siguiente ventana no modificaremos ningún parámetro y damos a finalizar.
GUIA LDAP CLIENTE LDAP[ ] 24 de febrero de 2012
SEGUNDO DE ASIR Página 27
COMPROBAMOS LA CONEXION
Vemos como se ha realizado la conexión perfectamente
Podemos ir viendo las unidades organizativas y los usuarios que hemos creado
anteriormente desde LDAP en Ubuntu.
GUIA LDAP CLIENTE LDAP[ ] 24 de febrero de 2012
SEGUNDO DE ASIR Página 28
REALIZAMOS UNA SERIE DE PRUEBAS
CAMBIAMOS EL NOMBRE DE UNA UNIDAD ORGANIZATIVA
Como podemos ver, he cambiado el nombre de la unidad organizativa profesinformatica por
profesores:
Actualizamos el servidor para que los cambios tengan efecto
Vemos que si intentamos una búsqueda con el nombre anterior de la unidad organizativa,
con el siguiente comando
ldapsearch -xLLL -b "ou=profesinformatica,dc=ribera,dc=com"
No encuentra el objeto
Sin embargo, si hacemos la b´suqueda con el nuevo nombre, vemos que el resultado ha
tenido éxito y que los cambios desde softerra debido a esta comprobación, tambien
ldapsearch -xLLL -b "ou=profesores,dc=ribera,dc=com"
GUIA LDAP CLIENTE LDAP[ ] 24 de febrero de 2012
SEGUNDO DE ASIR Página 29
CREAMOS UNA NUEVA UNIDAD ORGANIZATIVA EN UBUNTU A VER SI TIENE EFECTO EN
SOFTERRA
gedit seguridad.ribera.com.ldif
dn: ou=seguridad,dc=ribera,dc=com
objectClass: organizationalUnit
ou: seguridad
Añadimos la nueva unidad organizativa con el siguiente comando
ldapadd -x -D cn=admin,dc=ribera,dc=com -W -f seguridad.ribera.com.ldif
En cuanto actualizamos el servidor, pulsando simplemente F5 vemos como los cambios han
tenido éxito.
GUIA LDAP CLIENTE LDAP[ ] 24 de febrero de 2012
SEGUNDO DE ASIR Página 30
CREAMOS UNA NUEVA UNIDAD ORGANIZATIVA DESDE SOFTERRA Y VEMOS SI LOS CAMBIOS
HAN SURTIDO EFECTO EN UBUNTU
Seleccionamos una nueva entrada
Nos aparecerá el asistente para crear una nueva entrada, en el primer paso especificamos
Template-Based y pulsamos Siguiente
GUIA LDAP CLIENTE LDAP[ ] 24 de febrero de 2012
SEGUNDO DE ASIR Página 31
En este segundo paso tenemos que elegir el tipo de objeto que vamos a crear, que será una
unidad organizativa (organizational unit)
Elegimos el tipo y el nombre que le queremos dar:
GUIA LDAP CLIENTE LDAP[ ] 24 de febrero de 2012
SEGUNDO DE ASIR Página 32
Y en el último paso, no modificaremos nada solo pulsaremos sobre Finalizar para crear la
unidad organizativa
Una vez que lo hemos hecho nos sale que ha sido satisfactorio, pero que tenemos un
número de entradas limitadas en la versión de evaluación, que es la que nosotros tenemos,
de las cuales nos quedan 49
GUIA LDAP CLIENTE LDAP[ ] 24 de febrero de 2012
SEGUNDO DE ASIR Página 33
Vemos que desde el programa, si que se nos muestra la unidad organizativa que acabamos
de crear
COMPROBAMOS SI SUCEDE LO MISMO DESDE UBUNTU
Ejecutamos el siguiente comando, para que se muestre todo el contenido de nuestro
dominio
ldapsearch -x -b "dc=ribera,dc=com"
Y como podemos ver, también ha tenido éxito